CSA, Blok Zinciri Teknolojileri Risk Yönetimi Çalışmaları ile Öne Çıkıyor

Artık yaşamın her alanında bulut tabanlı teknolojilerin girdiğini söylersem, buna kimsenin karşı çıkmayacağını düşünüyorum. Hatta “yeni nesil beklentilerimizi” karşılayabilmenin yegane yolu bulut teknolojisi tabanlı çözümlerden geçiyor. Şu an şehirden uzak bir yerde, ağaçların arasında bu satırları drive üzerinden yazabiliyor olmam da bu sayede gerçekleşiyor. Çünkü her an, her yerde, istediğiniz platform üzerinden verileri işleyerek ve tercihlerinize uygun olarak sunulmasının en ekonomik ve efektif yolu bu. Sektörden bağımsız herhangi bir organizasyon, daha rekabetçi, daha esnek, daha hızlı hatta daha güvenli hizmet almak ve hizmet sunabilmek adına bulut hizmet sağlayıcılarının kapısını çalıyor. Cloud Security Alliance (CSA) küresel çapta bulut teknolojisinin kullanımına ilişkin güvenlik sorunlarının aşılması ve iyi uygulamaların yaygınlaştırılması için çalışmalar yürüten bir organizasyon. CSA bulut teknolojisinin yanında, bulut tabanlı çalışan sistemleri etkileyen yapay zeka, IoT ve RPA’ler gibi devrim yaratan teknolojilere ilişkin de araştırma ve çalışmalar yürütüyor. CSA’nın ilgi alanında olan bu teknojilerden birisi de blok zinciri teknolojileridir.

Blok zinciri teknolojisi güven faktöründen kaynaklı sorunlar nedeniyle çözümlenmesi zor gibi duran birçok sorunu gidermeyi vadediyor ve çok hızlı şekilde hayatımızı girip fark yarattığını görüyoruz. Bu teknoloji üzerinde hayat bulan bir kripto varlık hesabına sahip olmayanımız veya NFT marketlerini takip etmeyenimiz yoktur sanırım. Telefonumun ekranındaki uygulamalara göz attığımda, toplam sayının beşte birini, MetaMask, OpenSea gibi bu alana ilişkin uygulamaların oluşturduğunu görebiliyorum. Benim gibi mobil uygulamaları hayatının her alanında kullanmaya gayret eden birisi açısından önemli bir oran. 

İlgili taraflar arasındaki işlemleri geri döndürülemez ve inkâr edilemez şekilde kaydeden, akıllı sözleşmeler aracılığıyla hesaplamalar gerçekleştiren blok zinciri teknolojisinde, güvenilir üçüncü taraf kuruluşlar yerine yazılımsal algoritmalara ve bu sistemi birlikte işleten kolektifin çoğunluğuna güveniyoruz. Başta finans sektörü olmak üzere birçok endüstri blok zinciri teknolojisi ile hizmet alanlarını farklılaştırmaya yönelik uygulamaları hayata geçirmeye başlamış durumda. Blok zinciri teknolojisi, aslında ilk olarak dijital para devrimi odaklı ortaya çıktı. Ancak her gün yeni kullanım alanları keşfediliyor ve günlük hayattaki alanını genişletiyor. Birkaç gün önce çiftçiler açısından sorunlu alanlardan birisi olan buğday fiyatlamasına ilişkin tokenizasyon üzerinden daha demokratik bir ortam yaratmayı hedefleyen fikirleri dinledim, bu projenin yaratıcısından. Genç beyinlerin bu tür kemikleşmiş sorunları yeni teknolojiler ile çözüm yolları geliştiriyor olması gurur verici. 

Uzun yıllardır, bilgi ve teknoloji yönetişimi alanında faaliyetler yürüten birisi olarak blok zinciri teknolojisi ve sunduğu imkanları biraz uzaktan hayranlıkla izlerken, kendimi bir anda bu çalışmaların içinde buldum. Yerli bir kripto varlık hizmet sağlayıcı bünyesinde kurumsal risk yapısının kurulması görevini üstlendiğimde, çok farklı bir organizasyon yapısı olmasına karşın nereden başlayıp nereye evrileceğini planladığım bir çalışmayı başlattım: kripto borsasının tüm iş süreçlerinin tanımlanması; bunların alt süreçlerinin listelenmesi; her bir alt süreçteki girdi ve çıktıların belirlenmesi; iç ve dış paydaşlarla etkileşimlerin anlaşılması; iş hedeflerinin net olarak tanımlanması ve bu iş hedeflerinin gerçekleşmesine etki edecek belirsizliklerin, yani risklerin dokümante edilmesi. Bu aşamaya geldikten sonra risk ve yönetişim uzmanı olarak risk yönetimi kapsamında uygulayabileceğim ve blok zinciri teknolojisi kullanan firmalara yönelik özelleştirilmiş bir standart rehber aramak oldu. Ancak bu konuda henüz bir çalışmanın olmadığı gördüm. Ben de COSO ERM, NIST Cybersecurity Framework ve COBIT çerçevelerini adapte edecek bir yaklaşım geliştirdim. Ayrıca küresel çaptaki uygulamaları daha iyi anlamak amacıyla da Cloud Security Alliance (CSA) bünyesindeki Blokchain Security Governance çalışma grubuna dahil oldum. Zaten bu yazıyı kaleme almamın esas nedenlerinden birisi de CSA bünyesinde blok zinciri risk ve güvenlik yönetimi kapsamındaki bilgi birikimi aktarmak istememdi. 

Blok zinciri teknolojisinin öncü firmalarından, Mt. Gox ve Ronin Network’e düzenlenen siber saldırılar, FTX Group’da yaşanan dolandırıcılık olaylarının tamamı yeterli risk yönetim fonksiyonlarının oluşturulamasından kaynaklanıyor. Bu olaylara ilişkin yayımlanmış kamuya açık raporlara göz gezdirdiğinizde, risk yönetimi yaklaşımlarındaki eksikliklerin yaşanan istenmeyen olayların kök nedenleri arasında sıralandığını görebilirsiniz. CSA ise blok zinciri alanındaki bu önemli sorun alanına yönelik çalışmalar gerçekleştiriyor. Örnek olarak blok zinciri teknolojisinde var olan siber güvenlik zaafiyet ve açıklıklarını listeledikleri bir çalışma gerçekleştiriyor ve 200 kadar zaafiyetin listelendiği bir çalışma yayımlıyor. Şu anda da blok zinciri güvenlik yönetişimine ilişkin bir rehberin hazırlıklarını sürdürüyor.

Şunu açıklıkla dile getirmeliyim; blok zinciri teknolojisinde faaliyet yürüten şirketler, sadece mevzuat gerekleri için değil, aynı zamanda sundukları hizmetlerin, siber saldırganlar açısından kazançlı bir oyun alanı haline gelmesi gerçeğinden dolayı da risk ve güvenlik konularını AML/KYC uyumunun ötesine taşımak zorundalar. Çünkü gelecekte finansal değerlerin saklandığı ve işlendiği esas yer blok zinciri tabanlı sistemler olacaktır. En azından birçok saygın uzman bu şekilde düşünüyor.